DFX Finance, децентралізований протокол обміну для стейблкоїнів, прив’язаних до фіатної валюти, повідомив, що його атакували о 2:21 за східним часом. Згідно з підрахунками дослідників безпеки з BlockSec, невідомий зловмисник вивів із DFX приблизно 7.5 мільйонів доларів.
Команда DFX Finance визнала експлойт безпеки та заявила, що призупинила всі свої смарт-контракти, щоб усунути проблему. «Нас сповістили про підозрілу активність протягом 20-30 хвилин після першої транзакції та призупинили всі контракти DFX протягом кількох хвилин після підтвердження атаки», — йдеться в повідомленні. сказав.
Схоже, що інцидент є атакою з підтримкою флеш-позики, яка дозволила хакеру зловмисно зняти кошти з DFX. З викрадених активів на 7.5 мільйона доларів зловмисник міг перевести на свій гаманець лише активи на суму 4.3 мільйона доларів, у тому числі 2963 ефір ($3.8 млн) і деякі $500,000 у стейблкойнах.
Решта викрадених активів — бл $ 3.2 мільйонів - було видобуто ботом MEV під час попередньої транзакції, яка також називається сендвіч-атакою. Кошти, витягнуті ботом, знаходяться в an адреса контролюється оператором бота та може бути відновлений за бажанням оператора. DFX Finance має вже запитав оператор повернути їх.
Вектор атаки
Зловмисник скористався незахищеним механізмом флеш-позики, запропонованим DFX Finance у блокчейні Ethereum. Флеш-позика – це функція, за якої велику суму криптовалюти можна позичити без застави, лише якщо ці кошти повертаються в тій самій транзакції.
Під час атаки зловмисник позичив стейблкоїни в DFX Finance, а потім повернув їх у пули ліквідності DFX за допомогою «незахищеної функції зворотного виклику», яка обійшла його флеш-кредитні перевірки. Після швидкої позики у зловмисника все ще були токени пулу ліквідності, які вони продали.
Атака вичерпала токени пулу ліквідності DFX через численні флеш-позики, щоб отримати контроль над понад 7.5 мільйонами доларів. Аналітики безпеки з BlockSec кажуть, що депозити пулу ліквідності не слід було дозволяти, оскільки це змусило протокол повірити, що кошти повернуто та безпечно.
«Коли користувач позичає гроші, протокол не повинен дозволяти будь-які виклики функцій, які можуть змінити баланс протоколу DFX», — сказав The Block генеральний директор BlockSec Яджін Чжоу.
Хоча термінові кредити призначені для арбітражної торгівлі та підвищення ефективності капіталу, хакери регулярно зловживають ними, щоб використовувати певні вразливості.
Минулого року DFX Finance піднятий початковий раунд у розмірі 5 мільйонів доларів США під керівництвом Polychain Capital і True Ventures.
© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss